Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看有效标签策略
在开始检查账户中已标记资源的合规性状态之前,首先确定账户的有效标签策略会很有帮助。
什么是有效标签策略?
有效标签策略 指定应用到账户的标记规则。这是账户继承的任何标签策略以及直接附加到账户的任何标签策略的聚合。将标签策略附加到组织根时,它应用到组织中的所有账户。将标签策略附加到 OU 时,它应用到属于该 OU 的所有账户和 OU。
例如,附加到组织根的标签策略可以定义具有四个合规值的 CostCenter
标签。附加到账户的单独标签策略可能会将 CostCenter
限制为四个合规值中的两个。这些标签策略的组合组成了有效标签策略。结果是,在组织根标签策略中定义的四个合规标签值中,只有两个符合该账户的要求。
有关如何生成有效标签策略的更多信息和高级示例,请参阅了解管理策略继承。
如何查看有效标签策略
您可以从 Amazon Web Services Management Console、Amazon API 或 Amazon Command Line Interface 查看账户的有效标签策略。
若要查看账户的有效标签策略,您必须具有运行以下操作的权限:
- Amazon Web Services Management Console
-
查看账户的有效标签策略
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
在Amazon Web Services 账户页面上,选择要查看其有效标签策略的账户的名称。您可能需要展开 OU(选择
)以查找所需的账户。
-
在 Policies (策略) 选项卡上的 Tag policies (标签策略) 部分,选择 View the effective tag policy for this Amazon Web Services 账户 (查看此亚马逊云科技账户的有效标签策略)。
控制台显示应用于指定账户的有效策略。
如果没有重大更改,您无法复制和粘贴有效策略并将其用作其他标签策略的 JSON。标签策略文档必须包含继承运算符,这些运算符指定如何将每个设置合并到最终有效策略中。
- Amazon CLI & Amazon SDKs
-
查看账户的有效标签策略
您可以使用以下方法之一查看有效标签策略:
-
Amazon CLI:describe-effective-policy
要确定账户中继承或附加了哪些标记规则,请从账户运行以下命令并将结果保存到文件中:
$
aws organizations describe-effective-policy \
--policy-type TAG_POLICY
{
"EffectivePolicy": {
"PolicyContent": "{\"tags\":{\"costcenter\":{\"tag_value\":[\"*\"],\"tag_key\":\"CostCenter\"}}}",
"LastUpdatedTimestamp": "2020-06-09T08:34:25.103000-07:00",
"TargetId": "123456789012",
"PolicyType": "TAG_POLICY"
}
}
如果某个标签策略附加到账户以及根或 OU,则所有继承策略的组合定义该账户的有效标签策略。在这些情况下,从账户运行 describe-effective-policy
将返回账户层次结构中的所有标签策略的合并内容。
-
Amazon SDK:DescribeEffectivePolicy